Azure Active Directory の非管理対象ディレクトリを管理者として引き継ぐTake over an unmanaged directory as administrator in Azure Active Directory

この記事では、Azure Active Directory (Azure AD) の非管理対象ディレクトリにある DNS ドメイン名を引き継ぐ 2 つの方法について説明します。This article describes two ways to take over a DNS domain name in an unmanaged directory in Azure Active Directory (Azure AD). セルフサービス ユーザーは、Azure AD を使用しているクラウド サービスにサインアップするときに、電子メールのドメインに基づいて管理されていない Azure AD ディレクトリに追加されます。When a self-service user signs up for a cloud service that uses Azure AD, they are added to an unmanaged Azure AD directory based on their email domain. サービスに対するセルフサービス ("バイラル") サインアップについては、「Azure Active Directory のセルフサービス サインアップについて」をご覧くださいFor more about self-service or "viral" sign-up for a service, see What is self-service sign-up for Azure Active Directory?

非管理対象ディレクトリを引き継ぐ方法を決定するDecide how you want to take over an unmanaged directory

管理者の引き継ぎのプロセスでは、「カスタム ドメイン名を Azure Active Directory に追加する」で説明されているように、所有権を証明できます。During the process of admin takeover, you can prove ownership as described in Add a custom domain name to Azure AD. 次のセクションでは管理者エクスペリエンスを詳細に説明しますが、概要を以下に示します。The next sections explain the admin experience in more detail, but here's a summary:

  • 管理されていない Azure ディレクトリの "内部" 管理者の引き継ぎを実行、その非管理対象ディレクトリのグローバル管理者として追加されます。When you perform an "internal" admin takeover of an unmanaged Azure directory, you are added as the global administrator of the unmanaged directory. 管理しているその他のディレクトリには、ユーザー、ドメイン、またはサービス プランは移行されません。No users, domains, or service plans are migrated to any other directory you administer.

  • 管理されていない Azure ディレクトリの "外部" 管理者の引き継ぎを実行すると、その非管理対象ディレクトリの DNS ドメイン名が管理対象の Azure ディレクトリに追加されます。When you perform an "external" admin takeover of an unmanaged Azure directory, you add the DNS domain name of the unmanaged directory to your managed Azure directory. ドメイン名を追加するとき、ユーザーが引き続き中断されずにサービスにアクセスできるように、リソースに対するユーザーのマッピングが管理対象の Azure ディレクトリに作成されます。When you add the domain name, a mapping of users to resources is created in your managed Azure directory so that users can continue to access services without interruption.

内部管理者の引き継ぎInternal admin takeover

Office 365 など SharePoint と OneDrive が搭載されている一部の製品では、外部引き継ぎをサポートしていません。Some products that include SharePoint and OneDrive, such as Office 365, do not support external takeover. このシナリオに該当する場合、または管理されていない ("シャドウ") テナントの作成をセルフサービス サインアップを使用したユーザーから引き継ぎたいと考えている管理者の場合は、内部管理者の引き継ぎを使ってこれを実行できます。If that is your scenario, or if you are an admin and want to take over an unmanaged or "shadow" tenant create by users who used self-service sign-up, you can do this with an internal admin takeover.

  1. Power BI のサインアップを使って、管理されていないテナントにユーザー コンテキストを作成します。Create a user context in the unmanaged tenant through signing up for Power BI. わかりやすい例にするために、この手順では Power BI を使用した方法を仮定します。For convenience of example, these steps assume that path.

  2. Power BI サイトを開き、 [無料体験を開始する] を選びます。Open the Power BI site and select Start Free. たとえば、admin@fourthcoffee.xyz のように、組織のドメイン名を使用しているユーザー アカウントを入力します。Enter a user account that uses the domain name for the organization; for example, admin@fourthcoffee.xyz. 認証コードを入力したら、電子メールで確認コードをチェックします。After you enter in the verification code, check your email for the confirmation code.

  3. Power BI からの確認の電子メールで、 [Yes, that's me](はい、私です) を選びます。In the confirmation email from Power BI, select Yes, that's me.

  4. Power BI ユーザー アカウントで、Microsoft 365 管理センターにサインインします。Sign in to the Microsoft 365 admin center with the Power BI user account. 管理されていないテナントで既に確認済みのドメイン名の [管理者になる] に誘導するメッセージを受信します。You receive a message that instructs you to Become the Admin of the domain name that was already verified in the unmanaged tenant. [Yes, I want to be the admin](はい、管理者になります) を選択します。select Yes, I want to be the admin.

    [管理者になる] の最初のスクリーン ショット

  5. TXT レコードを追加して、ドメイン名のレジストラーでドメイン名 fourthcoffee.xyz を所有していることを証明します。Add the TXT record to prove that you own the domain name fourthcoffee.xyz at your domain name registrar. この例では、GoDaddy.com になります。In this example, it is GoDaddy.com.

    ドメイン名の txt レコードを追加する

DNS TXT レコードがドメイン名のレジストラーで確認済みの場合、Azure AD テナントを管理できます。When the DNS TXT records are verified at your domain name registrar, you can manage the Azure AD tenant.

上記の手順を完了すると、Office 365 の Fourth Coffee テナントのグローバル管理者になります。When you complete the preceding steps, you are now the global administrator of the Fourth Coffee tenant in Office 365. お使いの他の Azure サービスとドメイン名を統合するには、ドメイン名を Office 365 から削除して、Azure の別の管理対象テナントに追加できます。To integrate the domain name with your other Azure services, you can remove it from Office 365 and add it to a different managed tenant in Azure.

Azure AD の管理対象テナントにドメイン名を追加するAdding the domain name to a managed tenant in Azure AD

  1. Microsoft 365 管理センターを開きます。Open the Microsoft 365 admin center.

  2. [ユーザー] タブを選択し、カスタム ドメイン名を使用していない user@fourthcoffeexyz.onmicrosoft.com のような名前で、新しいユーザー アカウントを作成します。Select Users tab, and create a new user account with a name like user@fourthcoffeexyz.onmicrosoft.com that does not use the custom domain name.

  3. 新しいユーザー アカウントに Azure AD テナントのグローバル管理者特権が付与されていることを確認します。Ensure that the new user account has global admin privileges for the Azure AD tenant.

  4. Microsoft 365 管理センターで [ドメイン] タブを開き、ドメイン名を選択して [削除] を選択します。Open Domains tab in the Microsoft 365 admin center, select the domain name and select Remove.

    Office 365 からドメイン名を削除する

  5. 削除されたドメイン名を参照しているユーザーまたはグループが Office 365 にある場合、.onmicrosoft.com ドメインに名前を変更する必要があります。If you have any users or groups in Office 365 that reference the removed domain name, they must be renamed to the .onmicrosoft.com domain. ドメイン名を強制的に削除した場合、すべてのユーザーの名前が自動的に変更されます。この例では、user@fourthcoffeexyz.onmicrosoft.com になります。If you force delete the domain name, all users are automatically renamed, in this example to user@fourthcoffeexyz.onmicrosoft.com.

  6. Azure AD テナントのグローバル管理者であるアカウントを使って、Azure AD 管理センターにサインインします。Sign in to the Azure AD admin center with an account that is the global admin for the Azure AD tenant.

  7. [カスタム ドメイン名] を選択してドメイン名を追加します。Select Custom domain names, then add the domain name. DNS TXT レコードを入力して、ドメイン名の所有権を確認する必要があります。You'll have to enter the DNS TXT records to verify ownership of the domain name.

    Azure AD に追加済みと確認されたドメイン

注意

Office 365 テナントに割り当てられているライセンスを所有する、Power BI または Azure Rights Management サービスのユーザーは、ドメイン名が削除された場合、ダッシュ ボードを保存しておく必要があります。Any users of Power BI or Azure Rights Management service who have licenses assigned in the Office 365 tenant must save their dashboards if the domain name is removed. user@fourthcoffee.xyz ではなく、user@fourthcoffeexyz.onmicrosoft.com のようなユーザー名でサインインする必要があります。They must sign in with a user name like user@fourthcoffeexyz.onmicrosoft.com rather than user@fourthcoffee.xyz.

外部管理者の引き継ぎExternal admin takeover

Azure サービスまたは Office 365 を使って既にテナントを管理している場合、別の Azure AD テナントで既に確認されているカスタム ドメイン名を追加することはできません。If you already manage a tenant with Azure services or Office 365, you cannot add a custom domain name if it is already verified in another Azure AD tenant. ただし、Azure AD で管理されているテナントから、外部管理者の引き継ぎとして管理されていないテナントを引き継ぐことは可能です。However, from your managed tenant in Azure AD you can take over an unmanaged tenant as an external admin takeover. 一般的な手順については、カスタム ドメインの Azure AD への追加に関する記事に従ってください。The general procedure follows the article Add a custom domain to Azure AD.

ドメイン名の所有権を確認するときは、Azure AD では、管理されていないテナントからドメイン名を削除し、既存のテナントに移動します。When you verify ownership of the domain name, Azure AD removes the domain name from the unmanaged tenant and moves it to your existing tenant. 非管理対象ディレクトリの外部管理者の引き継ぎには、内部管理者の引き継ぎと同じ DNS TXT の確認プロセスを行う必要があります。External admin takeover of an unmanaged directory requires the same DNS TXT validation process as internal admin takeover. 相違点は、ドメイン名と共に次の内容も移行されることです。The difference is that the following are also moved over with the domain name:

  • ユーザーUsers
  • サブスクリプションSubscriptions
  • ライセンスの割り当てLicense assignments

外部管理者の引き継ぎのサポートSupport for external admin takeover

外部管理者の引き継ぎは、次のオンライン サービスによってサポートされています。External admin takeover is supported by the following online services:

  • Azure Rights ManagementAzure Rights Management
  • Exchange OnlineExchange Online

サポートされているサービス プランは次のとおりです。The supported service plans include:

  • PowerApps FreePowerApps Free
  • PowerFlow FreePowerFlow Free
  • 個人向け RMSRMS for individuals
  • Microsoft StreamMicrosoft Stream
  • Dynamics 365 無料試用版Dynamics 365 free trial

外部管理者の引き継ぎは、たとえば、Office の無償のサブスクリプション経由など、SharePoint、OneDrive、または Skype For Business を含むサービス プランを保持しているサービスではサポートされません。External admin takeover is not supported for any service that has service plans that include SharePoint, OneDrive, or Skype For Business; for example, through an Office free subscription.

アンマネージド テナントからドメイン名を削除し、目的のテナントでその有効性を確認する ForceTakeover オプションを任意で使用できます。You can optionally use the ForceTakeover option for removing the domain name from the unmanaged tenant and verifying it on the desired tenant.

個人向け RMS の詳細More information about RMS for individuals

個人向け RMS の場合、所有しているテナントと同じリージョンにアンマネージド テナントがあるとき、自動的に作成された Azure Information Protection テナント キー既定の保護テンプレートもドメイン名と共に移動します。For RMS for individuals, when the unmanaged tenant is in the same region as the tenant that you own, the automatically created Azure Information Protection tenant key and default protection templates are additionally moved over with the domain name.

アンマネージド テナントが異なるリージョンにあるときは、キーとテンプレートは移動しません。The key and templates are not moved over when the unmanaged tenant is in a different region. たとえば、アンマネージド テナントがヨーロッパにあり、所有している組織が北米にあるとします。For example, if the unmanaged tenant is in Europe and the organization that you own is in North America.

個人向け RMS は保護コンテンツを開くために Azure AD 対応として設計されていますが、ユーザーがコンテンツ保護もすることを防ぎません。Although RMS for individuals is designed to support Azure AD authentication to open protected content, it doesn't prevent users from also protecting content. ユーザーが個人向け RMS サブスクリプションでコンテンツを保護したとき、キーとテンプレートが移動していなければ、ドメイン引き継ぎ後、そのコンテンツにアクセスできなくなります。If users did protect content with the RMS for individuals subscription, and the key and templates were not moved over, that content is not accessible after the domain takeover.

ForceTakeover オプションの Azure AD PowerShell コマンドレットAzure AD PowerShell cmdlets for the ForceTakeover option

PowerShell の例」で使用されているコマンドレットを以下に示します。You can see these cmdlets used in PowerShell example.

コマンドレットcmdlet 使用法Usage
connect-msolservice 指示に従い、管理対象テナントにサインインします。When prompted, sign in to your managed tenant.
get-msoldomain 現在のテナントに関連付けられているドメイン名を表示します。Shows your domain names associated with the current tenant.
new-msoldomain –name <domainname> "未確認" (DNS の確認がまだ実行されていない) としてテナントにドメイン名を追加します。Adds the domain name to tenant as Unverified (no DNS verification has been performed yet).
get-msoldomain ドメイン名は、管理対象テナントに関連付けられているドメイン名の一覧に含まれるようになりましたが、"未確認" として表示されます。The domain name is now included in the list of domain names associated with your managed tenant, but is listed as Unverified.
get-msoldomainverificationdns –Domainname <domainname> –Mode DnsTxtRecord ドメインの新しい DNS TXT レコード (MS=xxxxx) に含める情報を提示します。Provides the information to put into new DNS TXT record for the domain (MS=xxxxx). TXT レコードのプロパゲートに一定の時間がかかるため、確認が直ちに行われるわけではありません。数分間待機してから、 -ForceTakeover オプションを検討します。Verification might not happen immediately because it takes some time for the TXT record to propagate, so wait a few minutes before considering the -ForceTakeover option.
confirm-msoldomain –Domainname <domainname> –ForceTakeover Force
  • お使いのドメイン名がまだ確認済みではない場合、 -ForceTakeover オプションを使って続行できます。If your domain name is still not verified, you can proceed with the -ForceTakeover option. TXT レコードが作成され、引き継ぎプロセスが開始されたことを確認します。It verifies that the TXT record was created and kicks off the takeover process.
  • - ForceTakeover オプションは、引き継ぎをブロックしている Office 365 サービスが管理されていないテナントに含まれている場合など、外部管理者の引き継ぎを強制的に行う場合のみ、コマンドレットに追加する必要があります。The -ForceTakeover option should be added to the cmdlet only when forcing an external admin takeover, such as when the unmanaged tenant has Office 365 services blocking the takeover.
  • get-msoldomain ドメインの一覧に、ドメイン名が "確認済み" と表示されるようになりました。The domain list now shows the domain name as Verified.

    注意

    外部の引き継ぎ強制オプションの実行から 10 日後に管理対象外の Azure AD 組織が削除されます。The unmanaged Azure AD organization is deleted 10 days after you exercise the external takeover force option.

    PowerShell の例PowerShell example

    1. セルフ サービス プランに対応するために使用された資格情報を使用して Azure AD に接続します。Connect to Azure AD using the credentials that were used to respond to the self-service offering:

      Install-Module -Name MSOnline
      $msolcred = get-credential
      
      connect-msolservice -credential $msolcred
      
    2. ドメイン一覧を、次のコマンドレットで取得します。Get a list of domains:

      Get-MsolDomain
      
    3. 次のように Get-MsolDomainVerificationDns コマンドレットを実行してチャレンジを作成します。Run the Get-MsolDomainVerificationDns cmdlet to create a challenge:

      Get-MsolDomainVerificationDns –DomainName *your_domain_name* –Mode DnsTxtRecord
      

      次に例を示します。For example:

      Get-MsolDomainVerificationDns –DomainName contoso.com –Mode DnsTxtRecord
      
    4. このコマンドから返される値 (チャレンジ) をコピーします。Copy the value (the challenge) that is returned from this command. 次に例を示します。For example:

      MS=32DD01B82C05D27151EA9AE93C5890787F0E65D9
      
    5. パブリック DNS 名前空間で、前の手順でコピーした値を含む DNS txt レコードを作成します。In your public DNS namespace, create a DNS txt record that contains the value that you copied in the previous step. このレコードの名前は親ドメインの名前です。このリソース レコードを Windows Server の DNS ロールを使用して作成する場合は、[レコード名] を空のままにして、テキスト ボックスに値を貼り付けます。The name for this record is the name of the parent domain, so if you create this resource record by using the DNS role from Windows Server, leave the Record name blank and just paste the value into the Text box.

    6. 次のように Confirm-MsolDomain コマンドレットを実行してチャレンジを確認します。Run the Confirm-MsolDomain cmdlet to verify the challenge:

      Confirm-MsolDomain –DomainName *your_domain_name* –ForceTakeover Force
      

      次に例を示します。For example:

      Confirm-MsolDomain –DomainName contoso.com –ForceTakeover Force
      

    チャレンジがクリアされると、エラーなしでプロンプトに戻ります。A successful challenge returns you to the prompt without an error.

    次のステップNext steps